Vercel Security
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Στο Vercel, μια Ομάδα είναι το πλήρες περιβάλλον που ανήκει σε έναν πελάτη και ένα έργο είναι μια εφαρμογή.
Για μια ανασκόπηση σκληροποίησης του Vercel, πρέπει να ζητήσετε έναν χρήστη με άδεια ρόλου Προβολέα ή τουλάχιστον άδεια προβολής έργου για τα έργα που θέλετε να ελέγξετε (σε περίπτωση που χρειάζεται να ελέγξετε μόνο τα έργα και όχι τη ρύθμιση της Ομάδας).
Σκοπός: Διαχείριση θεμελιωδών ρυθμίσεων έργου όπως το όνομα του έργου, το πλαίσιο και οι ρυθμίσεις κατασκευής.
Μεταφορά
Λάθος ρύθμιση: Επιτρέπει τη μεταφορά του έργου σε άλλη ομάδα
Κίνδυνος: Ένας επιτιθέμενος θα μπορούσε να κλέψει το έργο
Διαγραφή Έργου
Λάθος ρύθμιση: Επιτρέπει τη διαγραφή του έργου
Κίνδυνος: Διαγραφή του έργου
Σκοπός: Διαχείριση προσαρμοσμένων τομέων, ρυθμίσεων DNS και ρυθμίσεων SSL.
Σφάλματα Ρύθμισης DNS
Λάθος ρύθμιση: Λανθασμένες εγγραφές DNS (A, CNAME) που δείχνουν σε κακόβουλους διακομιστές.
Κίνδυνος: Υφαρπαγή τομέα, παρεμβολή κυκλοφορίας και επιθέσεις phishing.
Διαχείριση Πιστοποιητικών SSL/TLS
Λάθος ρύθμιση: Χρήση αδύναμων ή ληγμένων πιστοποιητικών SSL/TLS.
Κίνδυνος: Ευάλωτο σε επιθέσεις man-in-the-middle (MITM), που θέτουν σε κίνδυνο την ακεραιότητα και την εμπιστευτικότητα των δεδομένων.
Εφαρμογή DNSSEC
Λάθος ρύθμιση: Αποτυχία ενεργοποίησης του DNSSEC ή λανθασμένες ρυθμίσεις DNSSEC.
Κίνδυνος: Αυξημένη ευαισθησία σε επιθέσεις spoofing DNS και επιθέσεις δηλητηρίασης cache.
Περιβάλλον που χρησιμοποιείται ανά τομέα
Λάθος ρύθμιση: Αλλαγή του περιβάλλοντος που χρησιμοποιείται από τον τομέα στην παραγωγή.
Κίνδυνος: Έκθεση πιθανών μυστικών ή λειτουργιών που δεν θα έπρεπε να είναι διαθέσιμες στην παραγωγή.
Σκοπός: Ορισμός διαφορετικών περιβαλλόντων (Ανάπτυξη, Προεπισκόπηση, Παραγωγή) με συγκεκριμένες ρυθμίσεις και μεταβλητές.
Απομόνωση Περιβάλλοντος
Λάθος ρύθμιση: Κοινή χρήση μεταβλητών περιβάλλοντος μεταξύ των περιβαλλόντων.
Κίνδυνος: Διαρροή μυστικών παραγωγής σε περιβάλλοντα ανάπτυξης ή προεπισκόπησης, αυξάνοντας την έκθεση.
Πρόσβαση σε Ευαίσθητα Περιβάλλοντα
Λάθος ρύθμιση: Επιτρέποντας ευρεία πρόσβαση σε περιβάλλοντα παραγωγής.
Κίνδυνος: Μη εξουσιοδοτημένες αλλαγές ή πρόσβαση σε ζωντανές εφαρμογές, οδηγώντας σε πιθανές διακοπές ή διαρροές δεδομένων.
Σκοπός: Διαχείριση μεταβλητών και μυστικών που σχετίζονται με το περιβάλλον που χρησιμοποιούνται από την εφαρμογή.
Έκθεση Ευαίσθητων Μεταβλητών
Λάθος ρύθμιση: Προσθήκη προθέματος NEXT_PUBLIC_ σε ευαίσθητες μεταβλητές, καθιστώντας τις προσβάσιμες από την πλευρά του πελάτη.
Κίνδυνος: Έκθεση κλειδιών API, διαπιστευτηρίων βάσης δεδομένων ή άλλων ευαίσθητων δεδομένων στο κοινό, οδηγώντας σε διαρροές δεδομένων.
Ευαίσθητο απενεργοποιημένο
Λάθος ρύθμιση: Εάν είναι απενεργοποιημένο (προεπιλογή), είναι δυνατή η ανάγνωση των τιμών των παραγόμενων μυστικών.
Κίνδυνος: Αυξημένη πιθανότητα ακούσιας έκθεσης ή μη εξουσιοδοτημένης πρόσβασης σε ευαίσθητες πληροφορίες.
Κοινές Μεταβλητές Περιβάλλοντος
Λάθος ρύθμιση: Αυτές είναι μεταβλητές περιβάλλοντος που ορίζονται σε επίπεδο Ομάδας και θα μπορούσαν επίσης να περιέχουν ευαίσθητες πληροφορίες.
Κίνδυνος: Αυξημένη πιθανότητα ακούσιας έκθεσης ή μη εξουσιοδοτημένης πρόσβασης σε ευαίσθητες πληροφορίες.
Σκοπός: Ρύθμιση ενσωματώσεων αποθετηρίων Git, προστασίες κλάδων και ενεργοποιήσεις ανάπτυξης.
Αγνοούμενο Βήμα Κατασκευής (TODO)
Λάθος ρύθμιση: Φαίνεται ότι αυτή η επιλογή επιτρέπει τη ρύθμιση ενός bash script/εντολών που θα εκτελούνται όταν γίνει μια νέα δέσμευση στο Github, που θα μπορούσε να επιτρέψει RCE.
Κίνδυνος: TBD
Σκοπός: Σύνδεση υπηρεσιών και εργαλείων τρίτων για την ενίσχυση των λειτουργιών του έργου.
Ανασφαλείς Ενσωματώσεις Τρίτων
Λάθος ρύθμιση: Ενσωμάτωση με μη αξιόπιστες ή ανασφαλείς υπηρεσίες τρίτων.
Κίνδυνος: Εισαγωγή ευπαθειών, διαρροές δεδομένων ή πίσω πόρτες μέσω συμβιβασμένων ενσωματώσεων.
Υπερβολικές Άδειες Ενσωματώσεων
Λάθος ρύθμιση: Χορήγηση υπερβολικών αδειών σε ενσωματωμένες υπηρεσίες.
Κίνδυνος: Μη εξουσιοδοτημένη πρόσβαση σε πόρους έργου, χειρισμός δεδομένων ή διακοπές υπηρεσιών.
Έλλειψη Παρακολούθησης Ενσωματώσεων
Λάθος ρύθμιση: Αποτυχία παρακολούθησης και ελέγχου των ενσωματώσεων τρίτων.
Κίνδυνος: Καθυστερημένη ανίχνευση συμβιβασμένων ενσωματώσεων, αυξάνοντας την πιθανή επίπτωση των παραβιάσεων ασφάλειας.
Σκοπός: Ασφαλής ανάπτυξη μέσω διαφόρων μηχανισμών προστασίας, ελέγχοντας ποιος μπορεί να έχει πρόσβαση και να αναπτύξει στα περιβάλλοντά σας.
Επικύρωση Vercel
Λάθος ρύθμιση: Απενεργοποίηση της επικύρωσης ή μη επιβολή ελέγχων μελών της ομάδας.
Κίνδυνος: Μη εξουσιοδοτημένοι χρήστες μπορούν να έχουν πρόσβαση σε αναπτύξεις, οδηγώντας σε διαρροές δεδομένων ή κακή χρήση της εφαρμογής.
Παράκαμψη Προστασίας για Αυτοματοποίηση
Λάθος ρύθμιση: Δημόσια έκθεση του μυστικού παράκαμψης ή χρήση αδύναμων μυστικών.
Κίνδυνος: Οι επιτιθέμενοι μπορούν να παρακάμψουν τις προστασίες ανάπτυξης, αποκτώντας πρόσβαση και χειριζόμενοι προστατευμένες αναπτύξεις.
Μοιραζόμενοι Σύνδεσμοι
Λάθος ρύθμιση: Μοιραζόμενοι συνδέσμους α indiscriminately ή αποτυχία ανάκλησης παλαιών συνδέσμων.
Κίνδυνος: Μη εξουσιοδοτημένη πρόσβαση σε προστατευμένες αναπτύξεις, παρακάμπτοντας την επικύρωση και τους περιορισμούς IP.
OPTIONS Allowlist
Λάθος ρύθμιση: Επιτρέποντας υπερβολικά ευρείς δρόμους ή ευαίσθητα σημεία.
Κίνδυνος: Οι επιτιθέμενοι μπορούν να εκμεταλλευτούν μη προστατευμένους δρόμους για να εκτελέσουν μη εξουσιοδοτημένες ενέργειες ή να παρακάμψουν ελέγχους ασφαλείας.
Προστασία Κωδικού Πρόσβασης
Λάθος ρύθμιση: Χρήση αδύναμων κωδικών πρόσβασης ή κοινή χρήση τους με ανασφαλή τρόπο.
Κίνδυνος: Μη εξουσιοδοτημένη πρόσβαση σε αναπτύξεις εάν οι κωδικοί πρόσβασης μαντευτούν ή διαρρεύσουν.
Σημείωση: Διαθέσιμο στο Pro σχέδιο ως μέρος της Προηγμένης Προστασίας Ανάπτυξης για επιπλέον $150/μήνα.
Εξαιρέσεις Προστασίας Ανάπτυξης
Λάθος ρύθμιση: Προσθήκη τομέων παραγωγής ή ευαίσθητων στη λίστα εξαιρέσεων κατά λάθος.
Κίνδυνος: Έκθεση κρίσιμων αναπτύξεων στο κοινό, οδηγώντας σε διαρροές δεδομένων ή μη εξουσιοδοτημένη πρόσβαση.
Σημείωση: Διαθέσιμο στο Pro σχέδιο ως μέρος της Προηγμένης Προστασίας Ανάπτυξης για επιπλέον $150/μήνα.
Εμπιστευμένες IPs
Λάθος ρύθμιση: Λανθασμένος καθορισμός διευθύνσεων IP ή CIDR.
Κίνδυνος: Εγκεκριμένοι χρήστες να αποκλειστούν ή μη εξουσιοδοτημένες IPs να αποκτήσουν πρόσβαση.
Σημείωση: Διαθέσιμο στο Enterprise σχέδιο.
Σκοπός: Ρύθμιση serverless functions, συμπεριλαμβανομένων ρυθμίσεων χρόνου εκτέλεσης, κατανομής μνήμης και πολιτικών ασφαλείας.
Τίποτα
Σκοπός: Διαχείριση στρατηγικών και ρυθμίσεων caching για τη βελτιστοποίηση της απόδοσης και τον έλεγχο της αποθήκευσης δεδομένων.
Καθαρισμός Cache
Λάθος ρύθμιση: Επιτρέπει τη διαγραφή όλων των cache.
Κίνδυνος: Μη εξουσιοδοτημένοι χρήστες διαγράφουν την cache οδηγώντας σε πιθανό DoS.
Σκοπός: Προγραμματισμός αυτοματοποιημένων εργασιών και scripts για εκτέλεση σε καθορισμένα διαστήματα.
Απενεργοποίηση Cron Job
Λάθος ρύθμιση: Επιτρέπει την απενεργοποίηση cron jobs που δηλώνονται μέσα στον κώδικα
Κίνδυνος: Πιθανή διακοπή της υπηρεσίας (ανάλογα με το τι προορίζονταν τα cron jobs)
Σκοπός: Ρύθμιση εξωτερικών υπηρεσιών καταγραφής για την καταγραφή και αποθήκευση των logs της εφαρμογής για παρακολούθηση και έλεγχο.
Τίποτα (διαχειρίζεται από τις ρυθμίσεις ομάδας)
Σκοπός: Κεντρικός κόμβος για διάφορες ρυθμίσεις που σχετίζονται με την ασφάλεια που επηρεάζουν την πρόσβαση στο έργο, την προστασία πηγής και άλλα.
Build Logs and Source Protection
Λάθος ρύθμιση: Απενεργοποίηση προστασίας ή έκθεση των διαδρομών /logs και /src δημόσια.
Κίνδυνος: Μη εξουσιοδοτημένη πρόσβαση σε logs κατασκευής και πηγαίο κώδικα, οδηγώντας σε διαρροές πληροφοριών και πιθανή εκμετάλλευση ευπαθειών.
Git Fork Protection
Λάθος ρύθμιση: Επιτρέποντας μη εξουσιοδοτημένες αιτήσεις pull χωρίς κατάλληλες αναθεωρήσεις.
Κίνδυνος: Κακόβουλος κώδικας μπορεί να συγχωνευθεί στη βάση κώδικα, εισάγοντας ευπάθειες ή πίσω πόρτες.
Secure Backend Access with OIDC Federation
Λάθος ρύθμιση: Λανθασμένη ρύθμιση παραμέτρων OIDC ή χρήση ανασφαλών URLs εκδότη.
Κίνδυνος: Μη εξουσιοδοτημένη πρόσβαση σε υπηρεσίες backend μέσω ελαττωματικών ροών επικύρωσης.
Deployment Retention Policy
Λάθος ρύθμιση: Ρύθμιση περιόδων διατήρησης πολύ σύντομες (χάνοντας την ιστορία ανάπτυξης) ή πολύ μεγάλες (μη απαραίτητη διατήρηση δεδομένων).
Κίνδυνος: Αδυναμία εκτέλεσης ανατροπών όταν χρειάζεται ή αυξημένος κίνδυνος έκθεσης δεδομένων από παλιές αναπτύξεις.
Recently Deleted Deployments
Λάθος ρύθμιση: Μη παρακολούθηση διαγραμμένων αναπτύξεων ή εξάρτηση αποκλειστικά από αυτοματοποιημένες διαγραφές.
Κίνδυνος: Απώλεια κρίσιμης ιστορίας ανάπτυξης, εμποδίζοντας ελέγχους και ανατροπές.
Σκοπός: Πρόσβαση σε πρόσθετες ρυθμίσεις έργου για τη λεπτομερή ρύθμιση παραμέτρων και την ενίσχυση της ασφάλειας.
Directory Listing
Λάθος ρύθμιση: Ενεργοποίηση της λίστας καταλόγων επιτρέπει στους χρήστες να βλέπουν το περιεχόμενο του καταλόγου χωρίς αρχείο ευρετηρίου.
Κίνδυνος: Έκθεση ευαίσθητων αρχείων, δομής εφαρμογής και πιθανών σημείων εισόδου για επιθέσεις.
Enable Attack Challenge Mode
Λάθος ρύθμιση: Η ενεργοποίηση αυτού βελτιώνει τις άμυνες της διαδικτυακής εφαρμογής κατά του DoS αλλά εις βάρος της χρηστικότητας
Κίνδυνος: Πιθανά προβλήματα εμπειρίας χρήστη.
Λάθος ρύθμιση: Επιτρέπει την αποδέσμευση/μπλοκάρισμα της κυκλοφορίας
Κίνδυνος: Πιθανός DoS επιτρέποντας κακόβουλη κυκλοφορία ή μπλοκάροντας καλή κυκλοφορία
Λάθος ρύθμιση: Επιτρέπει την πρόσβαση για ανάγνωση του πλήρους πηγαίου κώδικα της εφαρμογής
Κίνδυνος: Πιθανή έκθεση ευαίσθητων πληροφοριών
Λάθος ρύθμιση: Αυτή η προστασία διασφαλίζει ότι η εφαρμογή πελάτη και διακομιστή χρησιμοποιούν πάντα την ίδια έκδοση ώστε να μην υπάρχουν αποσυγχρονισμοί όπου ο πελάτης χρησιμοποιεί διαφορετική έκδοση από τον διακομιστή και επομένως δεν κατανοούν ο ένας τον άλλον.
Κίνδυνος: Απενεργοποίηση αυτού (εάν είναι ενεργοποιημένο) θα μπορούσε να προκαλέσει προβλήματα DoS σε νέες αναπτύξεις στο μέλλον
Μεταφορά
Λάθος ρύθμιση: Επιτρέπει τη μεταφορά όλων των έργων σε άλλη ομάδα
Κίνδυνος: Ένας επιτιθέμενος θα μπορούσε να κλέψει τα έργα
Διαγραφή Έργου
Λάθος ρύθμιση: Επιτρέπει τη διαγραφή της ομάδας με όλα τα έργα
Κίνδυνος: Διαγραφή των έργων
Speed Insights Cost Limit
Λάθος ρύθμιση: Ένας επιτιθέμενος θα μπορούσε να αυξήσει αυτόν τον αριθμό
Κίνδυνος: Αυξημένα κόστη
Προσθήκη μελών
Λάθος ρύθμιση: Ένας επιτιθέμενος θα μπορούσε να διατηρήσει την επιμονή προσκαλώντας έναν λογαριασμό που ελέγχει
Κίνδυνος: Επιμονή επιτιθέμενου
Ρόλοι
Λάθος ρύθμιση: Χορήγηση υπερβολικών αδειών σε άτομα που δεν τις χρειάζονται αυξάνει τον κίνδυνο της ρύθμισης του vercel. Ελέγξτε όλους τους πιθανούς ρόλους στο https://vercel.com/docs/accounts/team-members-and-roles/access-roles
Κίνδυνος: Αυξάνει την έκθεση της Ομάδας Vercel
Μια Ομάδα Πρόσβασης στο Vercel είναι μια συλλογή έργων και μελών ομάδας με προκαθορισμένες αναθέσεις ρόλων, επιτρέποντας κεντρική και απλοποιημένη διαχείριση πρόσβασης σε πολλά έργα.
Πιθανές Λάθος Ρυθμίσεις:
Υπερβολική Άδεια Μελών: Ανάθεση ρόλων με περισσότερες άδειες από όσες είναι απαραίτητες, οδηγώντας σε μη εξουσιοδοτημένη πρόσβαση ή ενέργειες.
Λανθασμένες Αναθέσεις Ρόλων: Λανθασμένη ανάθεση ρόλων που δεν ευθυγραμμίζονται με τις ευθύνες των μελών της ομάδας, προκαλώντας κλιμάκωση προνομίων.
Έλλειψη Διαχωρισμού Έργων: Αποτυχία διαχωρισμού ευαίσθητων έργων, επιτρέποντας ευρύτερη πρόσβαση από ό,τι προοριζόταν.
Ανεπαρκής Διαχείριση Ομάδας: Μη τακτική αναθεώρηση ή ενημέρωση των Ομάδων Πρόσβασης, με αποτέλεσμα παρωχημένες ή ακατάλληλες άδειες πρόσβασης.
Ασυνεπείς Ορισμοί Ρόλων: Χρήση ασυνεπών ή ασαφών ορισμών ρόλων σε διαφορετικές Ομάδες Πρόσβασης, οδηγώντας σε σύγχυση και κενά ασφαλείας.
Log Drains σε τρίτους:
Λάθος ρύθμιση: Ένας επιτιθέμενος θα μπορούσε να ρυθμίσει ένα Log Drain για να κλέψει τα logs
Κίνδυνος: Μερική επιμονή
Domain Email Ομάδας: Όταν ρυθμιστεί, αυτή η ρύθμιση προσκαλεί αυτόματα Λογαριασμούς Vercel με διευθύνσεις email που τελειώνουν στον καθορισμένο τομέα (π.χ., mydomain.com) να ενταχθούν στην ομάδα σας κατά την εγγραφή και στον πίνακα ελέγχου.
Λάθος ρύθμιση:\
Καθορισμός λανθασμένου τομέα email ή λανθασμένα γραμμένου τομέα στη ρύθμιση Domain Email Ομάδας.
Χρήση κοινού τομέα email (π.χ., gmail.com, hotmail.com) αντί για εταιρικό τομέα.
Κίνδυνοι:
Μη εξουσιοδοτημένη Πρόσβαση: Χρήστες με διευθύνσεις email από μη επιθυμητούς τομείς μπορεί να λάβουν προσκλήσεις να ενταχθούν στην ομάδα σας.
Έκθεση Δεδομένων: Πιθανή έκθεση ευαίσθητων πληροφοριών έργου σε μη εξουσιοδοτημένα άτομα.
Protected Git Scopes: Σας επιτρέπει να προσθέσετε έως και 5 Git scopes στην ομάδα σας για να αποτρέψετε άλλες ομάδες Vercel από την ανάπτυξη αποθετηρίων από την προστατευμένη περιοχή. Πολλές ομάδες μπορούν να καθορίσουν την ίδια περιοχή, επιτρέποντας και στις δύο ομάδες πρόσβαση.
Λάθος ρύθμιση: Μη προσθήκη κρίσιμων Git scopes στη λίστα προστασίας.
Κίνδυνοι:
Μη εξουσιοδοτημένες Αναπτύξεις: Άλλες ομάδες μπορεί να αναπτύξουν αποθετήρια από τις περιοχές Git της οργάνωσής σας χωρίς εξουσιοδότηση.
Έκθεση Πνευματικής Ιδιοκτησίας: Ιδιοκτησιακός κώδικας θα μπορούσε να αναπτυχθεί και να αποκτηθεί εκτός της ομάδας σας.
Πολιτικές Μεταβλητών Περιβάλλοντος: Επιβάλλει πολιτικές για τη δημιουργία και την επεξεργασία των μεταβλητών περιβάλλοντος της ομάδας. Συγκεκριμένα, μπορείτε να επιβάλετε ότι όλες οι μεταβλητές περιβάλλοντος δημιουργούνται ως Ευαίσθητες Μεταβλητές Περιβάλλοντος, οι οποίες μπορούν να αποκρυπτογραφηθούν μόνο από το σύστημα ανάπτυξης του Vercel.
Λάθος ρύθμιση: Διατήρηση της επιβολής ευαίσθητων μεταβλητών περιβάλλοντος απενεργοποιημένη.
Κίνδυνοι:
Έκθεση Μυστικών: Οι μεταβλητές περιβάλλοντος μπορεί να προβληθούν ή να επεξεργαστούν από μη εξουσιοδοτημένα μέλη της ομάδας.
Διαρροή Δεδομένων: Ευαίσθητες πληροφορίες όπως κλειδιά API και διαπιστευτήρια θα μπορούσαν να διαρρεύσουν.
Audit Log: Παρέχει μια εξαγωγή της δραστηριότητας της ομάδας για έως και τις τελευταίες 90 ημέρες. Τα audit logs βοηθούν στην παρακολούθηση και την παρακολούθηση των ενεργειών που εκτελούνται από τα μέλη της ομάδας.
Λάθος ρύθμιση: Χορήγηση πρόσβασης στα audit logs σε μη εξουσιοδοτημένα μέλη της ομάδας.
Κίνδυνοι:
Παραβιάσεις Ιδιωτικότητας: Έκθεση ευαίσθητων δραστηριοτήτων και δεδομένων χρηστών.
Παρέμβαση στα Logs: Κακόβουλοι παράγοντες θα μπορούσαν να τροποποιήσουν ή να διαγράψουν logs για να καλύψουν τα ίχνη τους.
SAML Single Sign-On: Επιτρέπει την προσαρμογή της SAML επικύρωσης και συγχρονισμού καταλόγου για την ομάδα σας, επιτρέποντας την ενσωμάτωση με έναν Παροχέα Ταυτότητας (IdP) για κεντρική επικύρωση και διαχείριση χρηστών.
Λάθος ρύθμιση: Ένας επιτιθέμενος θα μπορούσε να δημιουργήσει πίσω πόρτα στην Ομάδα ρυθμίζοντας παραμέτρους SAML όπως Entity ID, SSO URL ή αποτυπώματα πιστοποιητικών.
Κίνδυνος: Διατήρηση επιμονής
Ορατότητα Διευθύνσεων IP: Ελέγχει εάν οι διευθύνσεις IP, οι οποίες μπορεί να θεωρούνται προσωπικές πληροφορίες σύμφωνα με ορισμένους νόμους προστασίας δεδομένων, εμφανίζονται σε ερωτήματα παρακολούθησης και Log Drains.
Λάθος ρύθμιση: Αφήνοντας την ορατότητα διευθύνσεων IP ενεργοποιημένη χωρίς αναγκαιότητα.
Κίνδυνοι:
Παραβιάσεις Ιδιωτικότητας: Μη συμμόρφωση με κανονισμούς προστασίας δεδομένων όπως το GDPR.
Νομικές Επιπτώσεις: Πιθανές ποινές και πρόστιμα για κακή διαχείριση προσωπικών δεδομένων.
Μπλοκάρισμα IP: Επιτρέπει τη ρύθμιση διευθύνσεων IP και CIDR που το Vercel θα πρέπει να μπλοκάρει αιτήματα από. Τα μπλοκαρισμένα αιτήματα δεν συμβάλλουν στη χρέωσή σας.
Λάθος ρύθμιση: Θα μπορούσε να καταχραστεί από έναν επιτιθέμενο για να επιτρέψει κακόβουλη κυκλοφορία ή να μπλοκάρει νόμιμη κυκλοφορία.
Κίνδυνοι:
Άρνηση Υπηρεσίας σε Νόμιμους Χρήστες: Μπλοκάρισμα πρόσβασης για έγκυρους χρήστες ή συνεργάτες.
Λειτουργικές Διαταραχές: Απώλεια διαθεσιμότητας υπηρεσίας για ορισμένες περιοχές ή πελάτες.
Vercel Secure Compute επιτρέπει ασφαλείς, ιδιωτικές συνδέσεις μεταξύ Vercel Functions και backend περιβαλλόντων (π.χ., βάσεις δεδομένων) δημιουργώντας απομονωμένα δίκτυα με αφιερωμένες διευθύνσεις IP. Αυτό εξαλείφει την ανάγκη δημόσιας έκθεσης υπηρεσιών backend, ενισχύοντας την ασφάλεια, τη συμμόρφωση και την ιδιωτικότητα.
Λανθασμένη Επιλογή Περιοχής AWS
Λάθος ρύθμιση: Επιλογή περιοχής AWS για το δίκτυο Secure Compute που δεν ταιριάζει με την περιοχή των υπηρεσιών backend.
Κίνδυνος: Αυξημένη καθυστέρηση, πιθανά ζητήματα συμμόρφωσης με την κατοχή δεδομένων και υποβάθμιση της απόδοσης.
Επικαλυπτόμενα CIDR Blocks
Λάθος ρύθμιση: Επιλογή CIDR blocks που επικαλύπτονται με υπάρχουσες VPCs ή άλλα δίκτυα.
Κίνδυνος: Συγκρούσεις δικτύου που οδηγούν σε αποτυχημένες συνδέσεις, μη εξουσιοδοτημένη πρόσβαση ή διαρροή δεδομένων μεταξύ δικτύων.
Λανθασμένη Ρύθμιση VPC Peering
Λάθος ρύθμιση: Λανθασμένη ρύθμιση του VPC peering (π.χ., λανθασμένα VPC IDs, ελλιπείς ενημερώσεις πίνακα δρομολόγησης).
Κίνδυνος: Μη εξουσιοδοτημένη πρόσβαση στην υποδομή backend, αποτυχημένες ασφαλείς συνδέσεις και πιθανές διαρροές δεδομένων.
Υπερβολικές Αναθέσεις Έργων
Λάθος ρύθμιση: Ανάθεση πολλών έργων σε ένα μόνο δίκτυο Secure Compute χωρίς κατάλληλη απομόνωση.
Κίνδυνος: Η κοινή έκθεση IP αυξάνει την επιφάνεια επίθεσης, επιτρέποντας πιθανώς σε συμβιβασμένα έργα να επηρεάσουν άλλα.
Ανεπαρκής Διαχείριση Διευθύνσεων IP
Λάθος ρύθμιση: Αποτυχία διαχείρισης ή περιστροφής αφιερωμένων διευθύνσεων IP κατάλληλα.
Κίνδυνος: IP spoofing, ευπάθειες παρακολούθησης και πιθανή μαύρη λίστα εάν οι IPs σχετίζονται με κακόβουλες δραστηριότητες.
Περιλαμβάνοντας Άχρηστες Δομές Κατασκευής
Λάθος ρύθμιση: Προσθήκη δομών κατασκευής στο δίκτυο Secure Compute όταν η πρόσβαση backend δεν απαιτείται κατά τη διάρκεια των κατασκευών.
Κίνδυνος: Αυξημένη επιφάνεια επίθεσης, καθυστερήσεις στην προμήθεια και περιττή κατανάλωση πόρων δικτύου.
Αποτυχία Ασφαλούς Διαχείρισης Μυστικών Παράκαμψης
Λάθος ρύθμιση: Έκθεση ή κακή διαχείριση μυστικών που χρησιμοποιούνται για την παράκαμψη των προστασιών ανάπτυξης.
Κίνδυνος: Μη εξουσιοδοτημένη πρόσβαση σε προστατευμένες αναπτύξεις, επιτρέποντας στους επιτιθέμενους να χειρίζονται ή να αναπτύσσουν κακόβουλο κώδικα.
Αγνοώντας Ρυθμίσεις Αποτυχίας Περιοχής
Λάθος ρύθμιση: Μη ρύθμιση παθητικών περιοχών αποτυχίας ή λανθασμένη ρύθμιση ρυθμίσεων αποτυχίας.
Κίνδυνος: Διακοπή υπηρεσίας κατά τη διάρκεια εκτάκτων αναγκών στην κύρια περιοχή, οδηγώντας σε μειωμένη διαθεσιμότητα και πιθανή ασυνέπεια δεδομένων.
Υπερβαίνοντας τα Όρια Σύνδεσης VPC Peering
Λάθος ρύθμιση: Προσπάθεια εγκαθίδρυσης περισσότερων συνδέσεων VPC peering από το επιτρεπόμενο όριο (π.χ., υπερβαίνοντας τις 50 συνδέσεις).
Κίνδυνος: Αδυναμία ασφαλούς σύνδεσης απαραίτητων υπηρεσιών backend, προκαλώντας αποτυχίες ανάπτυξης και λειτουργικές διαταραχές.
Ανασφαλείς Ρυθμίσεις Δικτύου
Λάθος ρύθμιση: Αδύναμοι κανόνες τείχους προστασίας, έλλειψη κρυπτογράφησης ή λανθασμένος διαχωρισμός δικτύου εντός του δικτύου Secure Compute.
Κίνδυνος: Παρεμβολή δεδομένων, μη εξουσιοδοτημένη πρόσβαση σε υπηρεσίες backend και αυξημένη ευπάθεια σε επιθέσεις.
Σκοπός: Διαχείριση μεταβλητών και μυστικών που σχετίζονται με το περιβάλλον που χρησιμοποιούνται από όλα τα έργα.
Έκθεση Ευαίσθητων Μεταβλητών
Λάθος ρύθμιση: Προσθήκη προθέματος NEXT_PUBLIC_ σε ευαίσθητες μεταβλητές, καθιστώντας τις προσβάσιμες από την πλευρά του πελάτη.
Κίνδυνος: Έκθεση κλειδιών API, διαπιστευτηρίων βάσης δεδομένων ή άλλων ευαίσθητων δεδομένων στο κοινό, οδηγώντας σε διαρροές δεδομένων.
Ευαίσθητο απενεργοποιημένο
Λάθος ρύθμιση: Εάν είναι απενεργοποιημένο (προεπιλογή), είναι δυνατή η ανάγνωση των τιμών των παραγόμενων μυστικών.
Κίνδυνος: Αυξημένη πιθανότητα ακούσιας έκθεσης ή μη εξουσιοδοτημένης πρόσβασης σε ευαίσθητες πληροφορίες.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
